ISO27001・ISMSの内部監査とは?目的と業務手順・ポイントまとめ

ISO27001 は外部への情報流出リスクを対策し、安全に情報を管理するための規定です。認証を受けると、顧客などの利害関係者 に情報管理ができていることの証明になります。
このISO 27001の規定を理解するには、まずISMS とはどんなものなのかを知っておくことが必要です。この記事では、ISO27001とISMSの違いをはじめ、ISO27001の内部監査の目的とポイント、具体的な内部監査の手順についてご紹介します。
目次
ISO27001とISMSの違い
ISMSは、情報セキュリティにかかわるマネジメントシステムです。セキュリティというと、国内ではJISが発行しているPマーク (プライバシーマーク)がよく知られていて、情報にパスワードをかけるなどして情報の気密性を高める対応などがあります。
一方、国際規格 であるISMSでは、「機密性 」に加え、管理している情報が書き換えられたり削除されたりすること防ぐ「完全性 」と、情報が必要な際すぐ使えるようにする「可用性」の3要素を維持することが要求事項 になっています。
ISO27001は、ISMSで重要とされる3要素を確保するための具体的な管理方法を明らかにしています。規定には、ISMSの仕組みをどのように立ち上げ、維持し、継続的な改善を行うための要求事項のほか、情報セキュリティのリスクアセスメントやリスクへの対処方法が含まれています。
万が一情報が漏えいした場合、企業や顧客は大きな被害を受けるリスクがあります。そのため、業種や業態によらず、ISO27001認証を受けることは全ての企業に大きなメリットといえるでしょう。

ISO27001の内部監査の目的は?
ISO27001は、資産をリスクから守ることを目的としています。そのため、ISMSについてPDCAのサイクルを回していくことが重視されています。情報の漏えいや改ざんを防ぐには、システム的な防止策のほか社員の教育も欠かせません。
そのため、情報マネジメントシステムの詳細やリーダーが持つべき役割や責任など、情報セキュリティを推進していくための計画の立て方や運用方法をしっかり規定することが重要です。さらに、社員に求められる知識やコミュニケーション方法、マネジメントレビューや監査といった評価手法や業務の改善に関わる内容も盛り込んでいきましょう。
ISO27001の内部監査を行う際は、管理すると決めた各情報資産が確実に守られているか確認することが重要です。また、デバイスや通信手段の多様化など、新たに情報セキュリティを脅かす原因になる要素がないか確認するよい機会になるでしょう。さらに、社内のメンバーが情報セキュリティの目的を十分に理解してルールを守っているか、評価することも必要です。
ISO27001内部監査のポイント
ISO27001の内部監査でやるべきことは、適合性や有効性 をチェックし、より良い運用を継続する気づきを得ることです。
そこで、まずは情報セキュリティマネジメントシステムに必要な機密性、完全性、可用性がビジネスのプロセスやマネジメント構造に組み込まれているか確かめましょう。
体制がしっかりしていれば、それだけ業務に無駄がなくなり、組織を強化することにつながります。特に最近はISO27001の取得が取引条件となっている企業が増えてきているため、このような適合性の確認は大前提です。
また、社内的にも情報セキュリティに関するリスクを減らすためには、各リーダーの役割や権限を明確化し、それぞれの社員の力量が適切か判断する必要があります。
たとえば、いくら強固なファイアーウォールを設定して技術的な歯止めをかけていたとしても、社内のメンバーがパソコンを社外に持ち出せる状況であればほとんど効果がありません。
このような状況では有効性が高いとはいえず、社員の意識やモラルの向上が課題になります。

ISO27001の内部監査の有効性が弱まる要因
適切な事前準備ができていない
内部監査が弱まる要因の一つに、適切な事前準備ができていないことが挙げられます。内部監査の有効性を確保するためには、現在の問題点を早期発見することが必要です。しかし、準備ができていない、または適切でない場合には、チェック項目をただ確認するだけの儀式のような監査になってしまう可能性があります。
規格の要求事項や元々考えていた質問をただ順番通りに確認するだけでは、組織の現状に潜んでいる問題点を見つけることは難しいでしょう。
そのため、誰に、どこで、どのような質問をすると、内部監査の目的を満たしつつ、現場の問題点をくみ取ることができるのかをしっかりと考えることが必要です。
社内における関係悪化を懸念する
次に、社内における関係悪化を懸念することで、監査の有効性が弱まる可能性があります。それは、内部監査を行う従業員は、通常業務と内部監査人とを兼務していることが多くあるためです。
内部監査をされる従業員と日ごろから通常業務において接している場合、通常業務をスムーズに行いたいという心理から、今後の関係性を悪化させないようにと監査を甘くしてしまう傾向があるのです。例えば、ルールやマニュアルに対する不適切な行動があったとしても、適当な注意のみで済ませてしまうといったことです。
こうした関係性にあっても、監査の目的を達成できるように、内部監査人の教育を徹底することが必要です。
既存ルールを変更することへの抵抗感
また、既存ルールを変更することに対する抵抗感が、監査の有効性を弱める可能性があります。
いくら改善のためとはいえ、既存ルールを変更し、新しいルールを運用していくことに抵抗をもつ従業員もいるでしょう。また、内部監査人と実際に運用している部門との間に軋轢が生まれてしまったり、新しいルールが定着するまでの手間が億劫になってしまったりする可能性が考えられます。
こうした抵抗を減らすためには、新しいルールを実施することでどのような改善が見込めるのかを理解してもらう努力を行うことが必要です。
ISO27001内部監査の業務手順
ISO27001の内部監査は、管理責任者(ISO事務局など)が作成した計画に準じて行われるのが一般的です。
準備段階では、最新の規格や顧客要求を整理して、チェックリストの更新と内部監査の計画書を作成します。特にデバイスや通信方法が新しいものが加わった場合は、それまでのチェックを継続してもセキュリティに穴が開いている可能性があります。
監査の際は、下記のようなポイントを評価していきます。
- 適切に情報資産が管理・保護されているか文書や運用の確認
- 新たに情報セキュリティを脅かす可能性がある要素はないか
- 社内のメンバーが情報セキュリティの必要性を理解してルールを守っているか
その際、力量評価表の確認だけでなく、実際の担当者がどのように業務に当たっているか確認することも有効です。
もし監査内で課題となる内容が見つかれば、PDCAの考え方に基づきマネジメントレビューする必要があります。監査上不適合とした内容は、是正指示書を作成し、担当者など関連メンバーで対策を行った後、部門責任者や事務局で有効性の検証を行い、是正案件をクローズさせましょう。

まとめ
ISO27001は情報を安全に守るため、ISMSをどのような方法で実施すべきかを示した規定です。
内部監査を行う際は、情報管理のマネジメントシステムの核となる機密性、完全性、可用性がどの程度機能しているかなど、社内のメンバーの情報セキュリティ意識を確認しましょう。
また、各規定が業務上有効に働いているか調査することも必要です。不適合箇所を継続的に改善していくことで、企業の価値や国内外での競争力向上が期待できます。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

こんな方に読んでほしい